Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répond aux questions fréquemment posées sur Azure Virtual Network Manager.
Général
Quelles régions Azure prennent en charge les Azure Virtual Network Manager ?
Pour obtenir des informations actuelles sur la prise en charge des régions, consultez l’article Produits disponibles par région.
Remarque
De nombreuses régions Azure prennent en charge les zones de disponibilité . Pour voir quelles régions prennent en charge les zones de disponibilité, consultez la liste des régions Azure.
Quels sont les cas d’usage courants pour Azure Virtual Network Manager ?
Vous pouvez créer des groupes réseau pour répondre aux besoins de sécurité de votre environnement et de ses fonctions. Par exemple, vous pouvez créer des groupes réseau pour vos environnements de production et de test pour gérer leurs règles de connectivité et de sécurité à grande échelle.
Pour les règles d’administration de sécurité, vous pouvez créer une configuration d’administrateur de sécurité avec deux regroupements de règles. Chaque collection de règles est ciblée sur vos groupes de réseau de production et de test, respectivement. Après le déploiement, cette configuration applique un ensemble de règles d’administration de sécurité pour les ressources réseau de votre environnement de production et un autre ensemble pour votre environnement de test.
Vous pouvez appliquer des configurations de connectivité pour créer un maillage ou une topologie réseau hub-and-spoke pour un grand nombre de réseaux virtuels dans les abonnements de votre organisation.
Vous pouvez refuser le trafic à haut risque. En tant qu’administrateur d’une entreprise, vous pouvez bloquer des protocoles ou des sources spécifiques qui remplacent les règles de groupe de sécurité réseau qui autorisent normalement le trafic.
Vous pouvez autoriser le trafic de manière forcée. Par exemple, vous pouvez autoriser un scanneur de sécurité spécifique à toujours disposer d’une connectivité entrante à toutes vos ressources, même si les règles de groupe de sécurité réseau sont configurées pour refuser le trafic.
Quel est le coût de l'utilisation de Azure Virtual Network Manager ?
Les frais d'Azure Virtual Network Manager sont basés sur le nombre de réseaux virtuels avec une configuration active de Gestionnaire de réseau virtuel déployée sur eux. Par exemple, si une étendue de Gestionnaire de réseau virtuel contient 100 réseaux virtuels, mais que les configurations n'ont été déployées que sur cinq de ces réseaux virtuels, vous serez facturé pour ces cinq réseaux virtuels (pas tous 100). En outre, veuillez noter que des frais de peering s’appliquent au volume de trafic des réseaux virtuels managés par une configuration de connectivité déployée (maillage ou hub-and-spoke).
Si un réseau virtuel a plusieurs configurations déployées sur celle-ci par la même instance de Gestionnaire de réseau virtuel, ce réseau virtuel n’entraîne qu’un seul taux de frais ; il n’entraîne pas de frais en double. Par exemple, si un Gestionnaire de réseau virtuel déploie à la fois une configuration de connectivité et une configuration d'administrateur de sécurité sur le même ensemble de cinq réseaux virtuels, vous serez facturé pour ces cinq réseaux virtuels, mais pas deux fois. Ce coût ne tient pas compte de plusieurs configurations, sauf si les configurations proviennent de différentes instances Gestionnaire de réseau virtuel.
Avant février 2025, Azure Virtual Network Manager frais étaient basés par défaut sur le nombre d’abonnements qui contenaient un réseau virtuel avec une configuration de Gestionnaire de réseau virtuel active déployée sur celui-ci. Si vous avez créé votre instance de Gestionnaire de réseau virtuel avant février 2025, vous pouvez choisir de switch votre tarification à la tarification basée sur le réseau virtuel.
L’outil de vérification réseau d’Azure Virtual Network Manager facture chaque exécution d’une analyse d’accessibilité dans un espace de travail de vérification Azure Virtual Network Manager. Ces frais sont distincts des frais de Azure Virtual Network Manager.
La fonctionnalité de gestion des adresses IP d’Azure Virtual Network Manager facture, à l’heure, chaque adresse IP active gérée par l’outil de gestion des adresses IP d’Azure Virtual Network Manager. Une adresse IP active est définie comme une adresse IP associée à une interface réseau dans un réseau virtuel associé à un pool d’adresses IP. Ces frais sont distincts des frais de Azure Virtual Network Manager.
Vous trouverez la tarification actuelle de votre région dans la page Azure Virtual Network Manager tarification.
Comment déployer Azure Virtual Network Manager ?
Vous pouvez déployer et gérer une instance et des configurations Azure Virtual Network Manager via différents outils, notamment :
Techniques
Quelle est la différence entre l’appartenance au groupe réseau statique et dynamique ?
Un groupe de réseau statique est rempli manuellement en ajoutant explicitement des réseaux virtuels. Un groupe de réseau dynamique utilise des règles basées sur des Azure Policy pour déterminer automatiquement l’appartenance en fonction de conditions telles que l’abonnement, les balises ou le groupe de ressources. Cela permet aux réseaux virtuels existants et nouvellement créés qui correspondent à la règle de joindre automatiquement le groupe réseau.
Un réseau virtuel peut-il appartenir à plusieurs instances de Azure Virtual Network Manager ?
Oui, un réseau virtuel peut appartenir à plusieurs instances Azure Virtual Network Manager.
Comment fonctionne le périmètre d’Azure Virtual Network Manager : groupe d’administration, abonnement ou groupe de ressources ?
Azure Virtual Network Manager prend en charge les périmètres aux niveaux du groupe d’administration et de l’abonnement. Si vous limitez un gestionnaire de réseau à un groupe d’administration, les abonnements enfants et leurs ressources sont inclus dans cette étendue. Si vous avez besoin d’une cible plus étroite telle qu’un groupe de ressources spécifique, utilisez des règles d’appartenance de groupe réseau pour inclure uniquement les réseaux virtuels qui correspondent à la condition de groupe de ressources.
Quand faut-il utiliser une architecture hub-and-spoke plutôt qu’un maillage, et peuvent-ils coexister l’un avec l’autre ?
Oui. Le hub-and-spoke et le maillage peuvent coexister. L’architecture hub-and-spoke est utile lorsque les branches ont besoin de services partagés dans le hub, tels que des passerelles, des pare-feu ou d’autres infrastructures centrales. Le maillage est utile lorsque les réseaux virtuels spoke sélectionnés ont besoin d’une connectivité directe entre eux pour des raisons de performances ou de latence. Un modèle courant consiste à conserver le hub-and-spoke pour les services partagés tout en plaçant un sous-ensemble de spokes dans un maillage afin que ces spokes puissent communiquer directement.
Azure Virtual Network Manager remplace-t-il les itinéraires définis par l’utilisateur pour le routage transitif passant par un hub de pare-feu ?
Non. Azure Virtual Network Manager ne remplace pas automatiquement les itinéraires définis par l'utilisateur lorsque vous souhaitez que le trafic spoke-to-spoke ou sortant transite par un pare-feu ou une appliance virtuelle réseau dans le hub. Vous avez toujours besoin de règles de routage pour diriger le trafic vers ce tronçon suivant. Azure Virtual Network Manager pouvez gérer ces paramètres de routage à grande échelle en appliquant une configuration de routage cohérente sur les réseaux virtuels ou sous-réseaux existants et nouvellement créés.
Les réseaux virtuels spoke peuvent-ils être connectés à un hub Virtual WAN dans une configuration de connectivité de maillage afin que ces réseaux virtuels spoke puissent communiquer directement ?
Oui, les réseaux virtuels spoke peuvent se connecter aux hubs WAN virtuels lors de la configuration en maillage. Ces réseaux virtuels dans le groupe maillé disposent d'une connectivité directe entre eux.
Les opérations effectuées sur les préfixes IP dans les réseaux virtuels qui font partie du maillage Azure Virtual Network Manager se propageront-elles automatiquement ?
Les réseaux virtuels dans le maillage sont automatiquement synchronisés. Les préfixes IP sont mis à jour automatiquement. Cela signifie que le trafic au sein du maillage fonctionne même après avoir modifié les préfixes IP dans les réseaux virtuels dans le maillage.
Azure Virtual Network Manager peut-il gérer le peering interrégional en hub-and-spoke ou le peering global ?
Oui. Azure Virtual Network Manager pouvez gérer des scénarios de connectivité inter-régions, y compris des modèles de connectivité globaux. Les caractéristiques de latence et de coût restent identiques à celles de la construction réseau Azure sous-jacente, comme le peering de réseaux virtuels globaux. Azure Virtual Network Manager centralise la gestion et l’automatisation.
Comment vérifier qu’une configuration de connectivité de maillage est appliquée comme prévu ?
Reportez-vous à la documentation Comment afficher les configurations appliquées. Une configuration de connectivité maillée ne connecte pas les réseaux virtuels avec l'appairage de réseaux virtuels, vous ne pouvez donc pas voir la connectivité maillée dans les lames d'appairage.
Que se passe-t-il si la région où le Azure Virtual Network Manager est créé est en panne ? Cela affecte-t-il les configurations déployées ou cela empêche-t-il uniquement les modifications de configuration ?
Seule la possibilité de modifier les configurations sera affectée. Une fois Azure Virtual Network Manager a programmé la configuration après avoir validé la configuration, elle continuera à fonctionner. Par exemple, si l’instance de Azure Virtual Network Manager est créée dans la région 1 et que la topologie de maillage est établie dans la région 2, le maillage de la région 2 continue de fonctionner même si la région 1 devient indisponible.
Comment les modifications de configuration se propagent-ils aux réseaux virtuels ?
Les configurations ne prennent pas effet tant que vous ne les déployez pas dans les régions cibles. Après avoir créé ou mis à jour une configuration et l’avoir déployée, Azure Virtual Network Manager applique la configuration aux réseaux virtuels inclus dans le périmètre de ces régions.
Comment restaurer une configuration de connectivité ou de sécurité si cela provoque un problème ?
Vous pouvez revenir à une version antérieure via le modèle de déploiement. Si une configuration provoque un problème dans une région, supprimez ou modifiez le déploiement pour cette région afin que la configuration ne s’y applique plus.
Qu’est-ce qu’une topologie de maillage en réseau global ?
Un maillage global permet aux réseaux virtuels entre régions de communiquer les uns avec les autres. Les effets sont similaires à l’appairage de réseaux virtuels globaux.
Puis-je utiliser Terraform avec Azure Virtual Network Manager ?
Oui. Azure Virtual Network Manager est pris en charge par le biais du fournisseur Terraform AzureRM. Les modèles ARM et Bicep sont également pris en charge, ce qui vous permet de gérer les ressources et les configurations d’Azure Virtual Network Manager au moyen de workflows d’infrastructure as code.
Comment Azure Virtual Network Manager s’intègre-t-il à la surveillance et aux diagnostics ?
Vous pouvez utiliser Azure outils de supervision pour observer et résoudre les problèmes de comportement Azure Virtual Network Manager. Network Watcher peut vous aider à analyser le trafic et à déterminer si celui-ci est bloqué par une règle. Les journaux de flux peuvent aider à analyser les schémas de trafic, et les journaux Azure Monitor ainsi que les paramètres de diagnostic permettent de capturer les événements liés à la configuration et à l’exploitation.
Comment auditer qui a modifié Azure Virtual Network Manager ressources ou configurations ?
Utilisez Azure journal d’activité. Il enregistre les opérations de plan de contrôle, notamment qui a effectué l’action, quelle opération a été effectuée et quand elle s’est produite.
Azure Virtual Network Manager achemine-t-il automatiquement le trafic des réseaux spoke via Pare-feu Azure dans le hub ?
Non. Azure Virtual Network Manager n'envoie pas automatiquement le trafic spoke via Pare-feu Azure simplement parce qu'un pare-feu existe dans le hub. Pour router le trafic via le pare-feu, configurez le routage afin que les préfixes souhaités utilisent le pare-feu comme tronçon suivant et utilisez Azure Virtual Network Manager pour appliquer ce modèle de routage à grande échelle.
Comment Azure Virtual Network Manager fonctionne-t-il avec expressRoute ou des passerelles VPN dans le hub ?
Dans une topologie hub-and-spoke, vous pouvez configurer des spokes pour utiliser la passerelle distante du hub. Lorsque cette option est activée, les réseaux virtuels spoke peuvent utiliser la passerelle ExpressRoute ou VPN dans le hub.
Le nombre de groupes réseau que je peux créer est-il limité ?
Le nombre de groupes réseau que vous pouvez créer n’est pas limité.
Comment les règles d’administration de sécurité interagissent-elles avec les groupes de sécurité réseau ?
Les règles d’administration de sécurité sont évaluées avant les règles de groupe de sécurité réseau. Si une règle d’administrateur de sécurité refuse le trafic, le trafic est bloqué avant l’évaluation du groupe de sécurité réseau. Cela signifie que les règles d’administration de sécurité peuvent bloquer le trafic qu’un groupe de sécurité réseau autoriserait autrement.
Comment gérer les exceptions aux règles d’administration de sécurité à l’échelle de l’organisation ?
Utilisez un groupe réseau distinct pour l’étendue d’exception et appliquez une règle d’administrateur de sécurité de priorité supérieure à ce groupe. Par exemple, vous pouvez refuser le protocole SSH entrant à partir d’Internet pour un groupe de réseau étendu, puis créer un groupe de réseau d’exceptions plus petit pour une équipe de charge de travail spécifique et appliquer une règle d’autorisation de priorité supérieure pour SSH à ce groupe.
Comment supprimer le déploiement de toutes les configurations appliquées ?
Vous devez déployer une configuration Aucune dans toutes les régions auxquelles une configuration est appliquée.
Puis-je ajouter les réseaux virtuels d’un autre abonnement que je ne gère pas ?
Oui, si vous disposez des autorisations appropriées pour accéder à ces réseaux virtuels.
Comment le déploiement de la configuration diffère-t-il entre les groupes réseau avec des membres ajoutés manuellement et des membres ajoutés de manière conditionnelle ?
Consultez les déploiements de configuration dans Azure Virtual Network Manager.
Comment supprimer un composant Azure Virtual Network Manager ?
Consultez la liste de contrôle pour supprimer et mettre à jour les composants du Azure Virtual Network Manager.
Est-ce que Azure Virtual Network Manager stocke les données des clients ?
Non. Azure Virtual Network Manager ne stocke aucune donnée client.
Une instance de Azure Virtual Network Manager peut-elle être déplacée ?
Non. Azure Virtual Network Manager ne prend actuellement pas en charge la possibilité de déplacer son instance vers une autre région, un groupe de ressources ou un abonnement. Si vous devez déplacer une instance, envisagez de la supprimer et d’utiliser le modèle Azure Resource Manager pour en créer un autre à l’emplacement souhaité.
Puis-je déplacer un abonnement avec un Azure Virtual Network Manager vers un autre locataire ?
Non, le déplacement de l'abonnement où existe l'instance Azure Virtual Network Manager vers un autre locataire n'est pas pris en charge. Pour plus d’informations, consultez Limitations avec Azure Virtual Network Manager.
Comment voir quelles sont les configurations appliquées pour m’aider à résoudre les problèmes ?
Vous pouvez afficher les paramètres Azure Virtual Network Manager sous Network Manager pour un réseau virtuel. Les paramètres affichent les configurations appliquées. Pour plus d’informations, consultez les configurations View appliquées par Azure Virtual Network Manager.
Que se passe-t-il lorsque toutes les zones sont en panne dans une région avec une instance de Azure Virtual Network Manager ?
Si une panne régionale se produit, toutes les configurations appliquées aux ressources de réseau virtuel managé actuelles restent intactes pendant la panne. Vous ne pouvez pas créer de configurations ni modifier des configurations existantes pendant la panne. Une fois la panne résolue, vous pouvez continuer à gérer vos ressources de réseau virtuel comme avant.
Un réseau virtuel géré par Azure Virtual Network Manager peut-il être appairé à un réseau virtuel non managé ?
Oui. Azure Virtual Network Manager est entièrement compatible avec les topologies hub-and-spoke préexistantes créées avec le peering manuel. Vous n’avez pas besoin de supprimer les connexions homologues existantes entre les réseaux virtuels hub et spoke. La migration se produit sans temps d’arrêt sur votre réseau.
Puis-je migrer une topologie hub-and-spoke existante vers Azure Virtual Network Manager ?
Oui. La migration de réseaux virtuels existants vers la topologie hub-and-spoke dans Azure Virtual Network Manager est simple. Vous pouvez créer une configuration de connectivité de la topologie hub-and-spoke. Lorsque vous déployez cette configuration, Azure Virtual Network Manager crée automatiquement les peerings nécessaires. Les appairages préexistants restent intacts ; il n’y a donc aucun temps d’arrêt.
Quelle est la différence entre des groupes connectés et un appairage de réseaux virtuels dans l’établissement d’une connectivité entre des réseaux virtuels ?
Dans Azure, le peering de réseaux virtuels et les groupes connectés sont deux méthodes d’établissement de la connectivité entre les réseaux virtuels. Le peering de réseaux virtuels fonctionne en créant un mappage un-à-un entre des réseaux virtuels, tandis que les groupes connectés utilisent une nouvelle construction qui établit la connectivité sans ce mappage.
Dans un groupe connecté, tous les réseaux virtuels sont connectés sans relations individuelles d’appairage. Par exemple, si trois réseaux virtuels font partie du même groupe connecté, la connectivité est établie d’un réseau virtuel à l’autre sans nécessiter de relations individuelles de peering.
L’effet de chaque méthode est le même, où la connectivité bidirectionnelle est établie entre les réseaux virtuels. Toutefois, les groupes connectés simplifient la gestion de la connectivité en vous permettant de gérer plusieurs réseaux virtuels en tant qu’entité unique et de vous permettre d’obtenir une plus grande échelle de connectivité au-delà des limites de peering.
Lors de la gestion des réseaux virtuels à l’aide du peering de réseaux virtuels, cela entraîne-t-il une double facturation des frais de peering avec Azure Virtual Network Manager ?
Il n’y a pas de deuxième ou double frais pour l’appairage. Votre gestionnaire de réseau virtuel respecte tous les peerings de réseaux virtuels créés précédemment et migre ces connexions. Toutes les ressources de peering, qu’elles soient créées à l’intérieur d’un gestionnaire de réseau virtuel ou en dehors, entraînent une charge de peering unique.
Puis-je créer des exceptions aux règles d’administration de sécurité ?
Normalement, les règles d’administration de sécurité sont définies pour bloquer le trafic entre les réseaux virtuels. Toutefois, il existe des moments où certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Pour ces scénarios, vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer des ports à haut risque avec des exceptions pour ces scénarios.
Comment puis-je déployer plusieurs configurations d’administration de sécurité dans une région ?
Vous ne pouvez déployer qu’une seule configuration d’administration de sécurité dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région. Pour déployer plusieurs ensembles de règles d’administration de sécurité dans une région, créez plusieurs regroupements de règles dans une configuration d’administrateur de sécurité.
Les règles d’administration de sécurité s’appliquent-elles à Azure points de terminaison privés ?
Actuellement, les règles d'administration de sécurité ne s'appliquent pas aux points de terminaison privés Azure qui appartiennent à l'étendue d'un réseau virtuel géré par Azure Virtual Network Manager.
Un hub Azure Virtual WAN peut-il faire partie d’un groupe réseau ?
Non, un hub Azure Virtual WAN ne peut pas se trouver dans un groupe réseau pour l'instant.
Puis-je utiliser une instance d'Azure Virtual WAN comme hub dans une configuration de connectivité hub-and-spoke d'Azure Virtual Network Manager ?
Non, un hub Azure Virtual WAN n'est pas pris en charge en tant que hub dans une topologie hub-and-spoke pour l'instant.
Mon réseau virtuel ne reçoit pas les configurations attendues. Comment puis-je résoudre ce problème ?
Utilisez les questions suivantes pour connaître les solutions possibles.
Avez-vous déployé votre configuration dans la région du réseau virtuel ?
Les configurations dans Azure Virtual Network Manager ne prennent pas effet tant qu'elles ne sont pas déployées. Déployez les configurations appropriées dans la région du réseau virtuel.
Votre réseau virtuel se trouve-t-il dans l’étendue ?
Un gestionnaire de réseau obtient uniquement l’accès délégué dont il a besoin pour appliquer les configurations aux réseaux virtuels situés dans votre étendue. Si une ressource se trouve dans votre groupe réseau, mais qu’elle est en dehors de l’étendue, elle ne reçoit aucune configuration.
Appliquez-vous des règles de sécurité à un réseau virtuel contenant des instances gérées ?
Azure SQL Managed Instance a certaines exigences réseau. Ces exigences sont appliquées par le biais de stratégies d’intention réseau à haute priorité, dont l’objectif est en conflit avec des règles d’administration de sécurité. Par défaut, l’application de règles d’administration est ignorée sur les réseaux virtuels contenant l’une de ces stratégies d’intention. Étant donné que les règles Autoriser ne présentent aucun risque de conflit, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant AllowRulesOnly sur securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Appliquez-vous des règles de sécurité à un réseau virtuel ou à un sous-réseau qui contient des services qui bloquent les règles de configuration de sécurité ?
Certains services nécessitent des exigences réseau spécifiques pour fonctionner correctement. Par défaut, les règles d'administration de sécurité ne sont pas appliquées aux réseaux virtuels contenant Azure SQL Managed Instance ou Azure Databricks. En outre, les règles d'administration de sécurité ne sont pas appliquées au niveau du sous-réseau pour les services tels que Azure Application Gateway, Azure Bastion, Pare-feu Azure, Serveur de routes Azure, Passerelle VPN Azure, Azure Virtual WAN et passerelle Azure ExpressRoute. Pour obtenir la liste complète, consultez Non-application des règles d’administration de sécurité. Pour la non-application au niveau du réseau virtuel, car Allow règles ne présentent aucun risque de conflit, vous pouvez choisir d'appliquer Allow uniquement règles en définissant le champ AllowRulesOnly des configurations de sécurité sur la classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
limites
Quelles sont les limitations de service de Azure Virtual Network Manager ?
Pour plus d’informations, consultez Limitations avec Azure Virtual Network Manager.
Étapes suivantes
- Créez une instance Azure Virtual Network Manager à l’aide du portail Azure.